很可惜,如果你是组合hql字符串的话,是防止不了的,要防止的话,也要用占位符,比如
query=session.createQuery("select count(*) from CpUser where id = :id and password = :password");
...
query.setParameter("id".userForm.getId());
...
如果你不想这么做的话,就要自己写一个filter,自动把所有的request参数值处理一下,如特殊字符前加上\,就不会有注入错误了
用户登录
还没有账号?立即注册
用户注册
投稿取消
文章分类: |
|
还能输入300字
上传中....